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PROCEDE D'IDENTIFICATION A CLE PUBLIQUE. 

(§0 Proc6d6 d'identification d'un premier moyen (le v6ri- 
fiST & I'aide d'un second moyen (le v6rificateur). 

Le proc6d£ est du type & cl6 publique, ou I'exposant pu- 
blic est 6gal & 3. Le v£rifi£ tire au hasard deux exposants a 
et x, calcule r = g 3x mod n, et R = q 3 * mod n et transmet R 
et r. Le verificateur tire au hasard un nombre e et le transmet 
au v6rifi6. Le v£rif i£ calcule y = ea + x mod n et z = r/'S mod 
n et transmet y et z. Le verificateur v6rifie que g 3y est 6gal a 
R e r mod n et que z 3 est egal a Rl mod n. 

Application dans la verification de Pauthenticite de divers 
supports comme les cartes bancaires. 
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PROCEDE D 1 IDENTIFICATION A CLE PUBLIQUE 

Domaine technique 

5 La pr6sente invention se rapporte a un 

proced6 cryptographique d 1 identification, permettant a 
un support quelconque, appele module d' identity (par 
exemple une carte a memoire, un microprocesseur, un 
ordinateur, etc.), de prouver son identite a des moyens 

10 mettant en oeuvre une application, ou a un interlocu- 
teur dote de moyens de verification, et ceci gr§ce a un 
protocole mettant en jeu, sans les reveler, un ou des 
secret (s) contenu(s) dans le support. 

Un protocole d 1 identification est done un 

15 dialogue, a travers un reseau de telecommunications, 
entre deux entites : d'une part, une premiere entite 
qui veut prouver son identite et qui peut etre, le cas 
echeant, equip^e d'un terminal, (par exemple un ordina- 
teur dote d'un lecteur de cartes a memoire) et, d'autre 

20 part, une seconde entite capable de dialoguer avec la 
premiere et de realiser certains calculs de verifica- 
tion. 

La premiere entite, dont on veut verifier 
1* identite, sera appelee par la suite "le verifie" (en 

25 anglais "the prover") et la seconde "le verif icateur" 
(en anglais "the verifier") . 

La presente invention se rapporte plus par- 
ticulierement a un procede d ' identification a cle 
publique, dans lequel le verificateur n'a pas besoin de 

30 connaitre les secrets contenus dans le module d'iden- 
tite du verifie, mais seulement des donnees non confi- 
dentielles (la cle publique) pour effectuer les calculs 
de verification. 
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L'algorithme de chiffrement a cle publique 
dit RSA (des initiales de leurs auteurs RIVEST, SHAMIR, 
ADLEMAN) est decrit dans le brevet americain US-A- 
4,405,829. C'est actuellement l'algorithme a cl6 publi- 
5 que le plus utilise. II fournit des schemas de 
signature utilisables 6galement a des fins d' identifi- 
cation, 

Dans l'algorithme RSA, on choisit deux nom- 
bres premiers distincts p et q, et on forme leur pro- 

10 duit n. On choisit egalement un entier e, qui est 
premier avec le plus petit commun multiple de (p-1) et 
(q-1) (ou, si l f on veut, qui est premier avec le pro- 
duit (p-1) (q-1)). Pour chiffrer un message, prealable- 
ment mis sous forme numerique u, u etant compris entre 

15 0 et n-1, on calcule la puissance e-ieme de u dans 

l'anneau des entiers modulo n, soit v = u e mod n. On 

rappelle que la valeur d'un entier x modulo un entier n 
est egale au reste de la division de x par n. 

Pour dechiffrer un message tel que v, il 

20 faut extraire la racine e-ieme du message chiffre v 
dans I'anneau des entiers modulo n. On montre que cette 
operation revient a elever le nombre v £ la puissance 
d, d etant l 1 inverse de l'exposant e modulo le plus 
petit commun multiple des nombres (p-1) et (q-1). Si 

25 l ! on ne connait pas les facteurs premiers p et q, la 
determination de d est impossible et, avec elle, l 1 ope- 
ration de dechif f rement . 

l/une des premieres utilisations pratiques 
du procede RSA a des fins d ' identification a ete la 

30 suivante : une autorite, responsable de la mise en 
place d f un systeme d' identification, emet une cle 
publique de type RSA, c 1 est-a-dire, en pratique, les 
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deux nombres n et e, cette cle etant commune a tout le . 
systeme, et conserve les elements secrets correspon- 
dents (p et q) . Cette autorite depose, dans chaque 
module d ■ identite des usagers du systeme, le couple 
5 constitue par : 

- le num6ro d 1 identification ID du module d' identite ; 

- la racine e-ieme (ou l 1 inverse de la racine e-ieme), 
modulo n, d f un nombre obtenu a partir du numero ID en 
appliquant a ID une fonction de redondance connue de 

10 tous (dont un exemple peut etre trouve dans la norme 
ISO 9796). Cette racine e-ieme (ou son inverse) , cal- 
culee par l 1 autorite d' emission a l ! aide des elements 
secrets qu'elle detient, est appelee "accreditation". 

Les accreditations deposees dans les modu- 
15 les d 1 identite peuvent, en premier lieu, etre utilisees 
a des fins d 1 identification passive (c 1 est-a-dire ne 
necessitant aucun calcul de la part de celui qui veut 
prouver son identite) .Le protocole se reduit alors # 
pour le verif icateur; aux operations suivantes : 

20 - lire le couple identite-accreditation contenu dans un 
module d' identite ; 

- calculer la puissance e-ieme de 1 ' accreditation et 
s' assurer que le resultat de ce calcul et 1 'applica- 
tion de la fonction de redondance au numero d'identi- 

25 fication ID fournissent bien le meme resultat. 

Un telle identification passive montre au 
verificateur que celui qui veut prouver son identite 
dispose de donnees qui ne peuvent avoir ete emises que 
par l'autorite, ce qui limite, dans une certaine 

30 mesure, les usurpations d f identite. Mais rien n'inter- 
dit cependant a un pirate capable d ' intercepter le pro- 
tocole verif ie-verif icateur, ou a un verificateur mal- 
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honnete, de r6utiliser a son profit les donnees commu- 
niques par le verifie. 

Malgr6 ce risque de fraude par reutilisa- 
tion, 1 ' identification passive decrite ci-dessus est 
5 largement utilisee dans le domaine bancaire et celui 
des cartes de telecommunication. Des precautions 
suppl^mentaires (listes noires, etc.) limitent dans une 
certaine mesure l'ampleur des fraudes par reutilisa- 
tion. 

10 Cependant, pour resoudre le probleme de la 

fraude par reutilisation des donnees 6changees, pro- 
bleme inherent aux protocoles d 1 identification passifs, 
des protocoles d' identification actifs, c'est-a-dire 
necessitant des calculs de la part de celui qui veut 

15 prouver son identite, ont ete proposes. Parmi ces pro- 
tocoles figurent non seulement 1 ' utilisation de l'algo- 
rithme RSA pour signer une question aleatoire posee par 
le verificateur, mais encore des schemas interactifs ou 
le verifie demontre au verificateur qu'il possede une 

20 ou plusieurs accreditations du type de celles definies 
plus haut, et cela sans reveler cette {ou ces) accredi- 
tation (s). Parmi les schemas de ce type, les plus uti- 
lises actuellement sont le schema de FIAT-SHAMIR et le 
schema de GUILLOU-QUISQUATER . 

25 Le schema d ' identification de FIAT-SHAMIR 

est decrit dans le brevet US-A-4 , 748 , 668 . Le schema 
d' identification de GUILLOU et QUISQUATER est decrit 
dans le document FR-A-2 620 248 (ou son correspondant 
europeen EP-A-0 311 470 ou son correspondant americain 

30 US-A-5,218, 637) . 

Ces deux schemas consistent en une ou plu- 
sieurs iterations d f une variante de base a trois passes 
dans laquelle : 
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1. celui qui veut prouver son identite, (le ve- 
rifie) calcule la puissance e-ieme modulo n d'un 
nombre aleatoire r qu'il a tire, et en deduit un 
nombre x, appele le temoin, qu'il envoie au 

5 verificateur ; 

2. le verificateur tire au sort un nombre b, 
appele la question, et l'envoie au verifie ; 

3. le verifie calcule, par exemple, le produit 
du nombre aleatoire r par la puissance b-i6me de 

10 son accreditation, soit y = rS b mod n et envoie 

le resultat y au verificateur. 

Le verificateur peut calculer la puissance 
e-ieme de y, et comme il connait la puissance 
e-ieme de 1 1 accreditation S du verifie, il est 
15 alors capable de verifier la coherence entre x, 

b et y. 

Ces schemas presentent un double avantage 
pour 1 1 identification active : d'une part, si 1 ' on se 

20 contente d'un niveau d 1 insecurity (defini comme la pro- 
babilite maximale de succes d f un fraudeur) de l'ordre 
de 10" 6 , ils sont nettement moins couteux en temps de 
calcul qu'une signature RSA ; d' autre part, ces schemas 
sont, du moins dans leur version de base, a divulgation 

25 nulle de connaissance (en anglais "zero-knowledge" ) , ce 
qui entraine que les echanges lies a un processus 
d 1 identification ne peuvent etre d'aucun secours a un 
fraudeur pour la recherche des accreditations secretes 
d'un utilisateur. 

30 Deux configurations peuvent etre envisagees 

pour la mise en oeuvre, cote verifie, de schemas 
d ' identification actifs demontrant la possession d f ac- 
creditations du type de ceux qui viennent d'etre expo- 
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ses. Dans une premiere configuration, le module d' iden- 
tity contenant les accreditations possede une puissance 
de calcul suffisante pour realiser tous les calculs de 
son cote. Dans une seconde configuration le module 
5 d' identite contenant les accreditations n'effectue pas 
les calculs lui-meme mais les fait realiser dans un 
terminal (par exemple un micro-ordinateur capable de 
lire les accreditations dans le module d' identity. 

La seconde configuration, bien qu'un peu 

10 moins sure que la premiere, peut cependant etre utile 
pour ameliorer la security de la verification de modu- 
les d' identite initialement congus pour une simple 
identification passive. II est necessaire de faire 
confiance au terminal utilise cote verifie, mais sous 

15 reserve que ce terminal soit integre, aucune fraude 
provenant du reseau ou du verificateur n'est possible. 

Dans la presente invention, on s'interesse 
plus particulierement au probleme de 1 ' utilisation, 

20 selon la seconde configuration, de supports d ! identite 
initialement congus pour une identification passive, 
dans lesquels une unique accreditation correspondant a 
un exposant public e egal a 3 a ete deposee : la 
majeure partie des cartes bancaires franqraises, ainsi 

25 que d'autres supports d 1 identite (par exemple les 
cartes de telecommunications) sont de ce type. 

Le procede de GUILLOU- QUISQUATER est en 
theorie utilisable par le terminal cote verifie, pour 
demontrer au verificateur la possession de 

30 1" accreditation. Le procede de GUILLOU-QUISQUATER, dans 
ce cas particulier, comprend les operations suivantes : 



2763452 



a) deux grands nombres premiers p et q definis- 
sent 1' entier n, produit de p par q ; le nombre n 
est rendu public ; 

b) le support de celui qui doit prouver son iden- 
5 tite contient une accreditation secrete S 

comprise entre 1 et n-1 ; le cube de 1 ! accredits^ 
tion modulo n, c'est-a-dire I = S 3 mod n, est 
rendu public ; 

c) le support du verifie est pourvu de moyens 
10 aptes a tirer au hasard un entier r compris entre 

1 et n-1, et a calculer le cube de r modulo n, 
appele le temoin x : 

x = r 3 mod n ; 

d) le verifie transmet le temoin x au verifica- 
15 teur ; 

e) le verificateur tire au sort un entier b infe- 
rieur a l'exposant 3, done egal a 0, 1, ou 2 ; 
cet entier est appele la question ; 

f) le verificateur transmet la question b au 
20 verifie ; 

g) le verifie calcule le nombre y defini par : 

y = rS b mod n 

h) le verifie transmet ce nombre y au verifica- 
teur ; 

25 i) le verificateur eleve au cube le nombre y et, 

par ailleurs, calcule le produit du temoin x (qui 
lui a ete transmis) par la puissance b de I (b 
qu'il a tire et I qui est public) ; le verifica- 
teur compare alors.y 3 et xl b mod n, s'il y a coin- 
30 cidence, le verifie a repondu correctement a la 

question et son authenticity est presumee. 

La securite d f un tel schema repose sur 
l'hypothese meme du schema RSA : l'entier n etant 
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public ainsi que 1* exposant 3, il est difficile, pour 
un tiers fraudeur, de remonter a r en prenant la racine 
cubique de x, sans connaitre les facteurs p et q, dont 
n est le produit. Ne connaissant pas r, le tiers frau- 
5 deur ne peut repondre correctement a la question posee 
par le v6rif icateur . 

Pour un tel procede, ainsi que pour les 
autres schemas d 1 identification connus a ce jour, la 
situation ou l'on ne dispose que d'une seule accredita- 

10 tion correspondant a un exposant public egal a 3 
conduit a des protocoles tres couteux en communica- 
tions. En effet, le niveau de securite d'un echange de 
base (temoin, question, reponse) que 1 ' on peut realiser 
dans les conditions citees est inferieur ou egal a 3 

15 pour le schema de GUILLOU-QUISQUATER. Pour parvenir a 
un niveau de securite convenable (insecurite inferieure 
a 2" 16 ) , il faut done repeter l'echange de base au moins 
une dizaine de fois, ce qui conduit a multiplier le 
nombre de bits a echanger entre verifie et verificateur 

20 par un facteur de dix au moins. 

Le but de la presente invention est juste- 
ment de remedier a cet inconvenient. .11 s'agit de 
proposer un schema, a la fois realiste en temps de 
calcul et moins couteux en nombre de bits echanges, 

25 permettant de demontrer la possession d f une accredita- 
tion correspondant a un exposant public egal a 3, sans 
la reveler. 

Expose de 1 1 invention 

30 Le procede de 1' invention est fonde sur 

l f hypothese selon laquelle, pour tout entier n, si l'on 
conhait deux nombres g et y compris entre 0 et n-1, il 
est difficile de calculer a, s'il existe, tel que : 
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y = g mod n. 

Sous cette hypothese, 1' invention se defi- 
nit comme suit il s'agit d'un procede d ' identification 
d*un support appel£ "le verifie 11 , par des moyens appe- 
5 les "le verificateur", ce support et ces moyens etant 
equipes de moyens de calcul et de memorisation appro- 
pries, le verifi6 et le verificateur possedant en 
commun : 

- un nombre entier n, produit de deux nombres 
10 premiers (p, q) , 

- un nombre X qui est le plus petit facteur premier 
impair de (p-l)(q-l), 

- un nombre k, parametre de securite inferieur S X, 

- un nombre entier g compris entre 2 et n-1 et 

15 d'ordre X, 

le verifie possedant en outre un nombre secret S egal a 
v 

g mod n, ou v est un nombre secret, le secret S defi- 

nissant I'identite du verifie, le verificateur ayant en 
outre connaissance de la puissance 3 modulo n de ce 
20 secret, soit I = S 3 mod n, 

procede dans lequel le verifie et le verificateur 
mettent en oeuvre leurs moyens de calcul et de memori- 
sation pour effectuer les operations successives 
suivantes : 
25 Phase A ; le verifie : 

Aa) tire au hasard un premier exposant a entier 
compris entre 0 et X-l, 

Ab) tire au hasard un second exposant x entier 
compris entre 0 et X-l, 
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Ac) calcule un nombre r egal a la puissance 3x du 

nombre g modulo n, soit : 

3x , 
r = g mod n 

Ad) calcule un nombre R egal a la puissance 3a du 
5 nombre g modulo n, soit : 

Ae) transmet les nombres r et R au v6rif icateur, 
Phase B ; le verificateur : 

Ba) tire au hasard un nombre e entier compris 
10 entre 0 et X-l, 

Bb) transmet au verifie le nombre e, 
Phase C ; le verifie : 

Ca) calcule un nombre y egal a ea + x modulo X, 
Cb) calcule un nombre z egal a g a S modulo n, 

15 Cc) transmet les nombres y et z au verificateur, 

Phase D ; le verificateur : 

Da) calcule le produit de R e par r modulo n et la 

puissance y de g 3 , soit g 3y , et verifie si les 
deux resultats sont egaux, c'est-a-dire : 

? 

20 g 3y = R e r mod n, 

Db) calcule le produit de R par I'identite publi- 
que I et le cube de z et verifie si les deux 
resultats obtenus sont egaux, c f est-a-dire : 

? 

z 3 = RI mod n, 

25 1 ' identification du verifie par le verificateur etant 
acquise si les deux verifications Da) Db) sont averees. 
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Le nombre X doit etre suf f isamment grand. 
Le nombre k peut etre par exemple de l'ordre de 2 20 pour 
une insecurity inferieure a 2~ 19 . 

5 Le tableau ci-dessous resume les differen- 

tes operations . 

TABLEAU I 

Verif ie Verif icateur 



0 


n, k, g, I, X n, k, g, I 


A 


S = g v mod n. 
a < X 
x < X 

r - g 3x mod n 

R 2 - g 3a mod n ^ 


B 


< e < k 


C 


y = ea + x mod X 

z = g a S mod n — ^— > 


D 


? 

g 3y = R e r mod n 

7 

z 3 = RI mod n 



10 La bande horizontale marquee 0 indique les 

donnees connues des deux entites, a savoir, le nombre 
n, le nombre k, le nombre q, et le cube du secret, soit 
I. 

La bande horizontale A rassemble les pre- 
15 mieres operations effectuees par le verifie (operations 
Aa a Ae dans la definition precedente) . 
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La bande horizontale B montre 1* operation 
suivante effectuee par le verif icateur . 

La bande horizontale C rassemble les opera- 
tion effectuees a nouveau par le verifie (operations 
5 Ca, Cc) 

La bande horizontale D, enfin, rassemble 
les deux dernieres operation effectuees par le verifi- 
cateur. 

Un tel procede permet bien de verifier 
10 1 'authenticity d ! un possesseur d'accreditation. En 
effet, si le verifie connait le secret S il pourra 
repondre correctement a la question posee par le veri- 

f icateur puisqu'il pourra calculer la quantite z = g a S 
mod n. 

15 Reciproquement , pour etre accepte, le veri- 

fie doit permettre la verification des deux equations 
Da, Db. Supposons qu ! il soit capable de les satisfaire 
avec une probability superieure & 2/k. Cela signifie 
que, apres s'etre engage avec R et r, le verifie sait 

20 repondre a au moins deux questions e et e 1 differentes 
modulo 2. Soient (y,z) et (y^z 1 ) les reponses 
respectives. Alors, r = g 3y R" e = g 3y ' R~ e ' mod n et z 3 = 
z' 3 = RI mod n. Par consequent, z = z' et (g y ~ y ') 3 = R e " e ' 
mod n. Ainsi, comme X est premier et superieur a e-e', 

25 l'egalite de Bezout fournit u et w tels que uX. + 
w(e-e') = 1. Alors, (g y ~ y ') 3w = R w(e " e,) = R.R- a mod n. 
Comme e-e ' est impair et inferieur a X, le plus petit 
facteur impair de (p-l)(q-l), alors e-e 1 , admet un 
inverse, f modulo (p-1) (q-1) . Par consequent, 

30 R = (g (y ' y, ) 3f mod n. Or, g est d'ordre X, done R k = 1 mod 
n. Ce qui entraine, R = (g w(y_y ') 3 mod n. Par suite, 
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I = (zg" wty " yM ) 3 mod n. 
Le verifie doit done necessairement etre en 
possession de 1 1 accreditation S, racine cubique de I. 

5 On peut voir egalement que meme un malfai- 

teur utilisant toutes les techniques frauduleuses 
imaginables ne pourra obtenir une quelconque informa- 
tion sur 1 1 accreditation du verifie, et done se faire 
ensuite passer pour lui. 

10 En effet, ce protocole est a divulgation 

nulle de connaissance . II est done possible de simuler 
une interaction entre le verifie et n ! importe quel 
v6rif icateur, sans connaitre le secret S . Soit a la 
strategie, aleatoire ou non, d'un verif icateur . C f est 

15 une fonction qui prend en entree un couple (R,r), et 
retourne une question e. Le simulateur : 

1. choisit c compris entre 0 et k-1, ainsi que y et t 
compris entre 0 et X-l, 

2. calcule z - g l mod n, R = z 3 !" 1 mod n et r = g 3y R" € 
20 mod n, 

3. interroge la strategie du verifieur : e = a(R,r;, 

4. si e = 8, on retourne a 1' operation 1, sinon le 
simulateur ecrit (R,r,e,y,z). 

Le procede defini est done sur, meme face a 
25 des attaques actives. II est a divulgation nulle de 
connaissance avec une probability d ' acceptation d'un 
tricheur inferieure a 2/k apres une iteration. 
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R EVEN D I CAT IONS 

1. Procede d 1 identification d'un support 
appele M le verifie", par des moyens appeles "le verifi- 
5 cateur" , ce support et ces moyens etant equipes de 
moyens de calcul et de memorisation appropries, le 
verifie et le verificateur possedant en commun : 

- un nombre entier n, produit de deux nombres pre- 
miers (p,q), 

10 - un nombre X qui est le plus petit facteur premier 

impair de (p-D(q-l),. 

- un nombre k, parametre de securite inferieur a X, 

- un nombre entier g compris entre 2 et n-1 et 
d'ordre X., 

15 le verifie possedant en outre un nombre secret S egal a 

g v mod n, ou v est un nombre secret, le secret S defi- 

nissant I'identite du verifie, le verificateur ayant en 
outre connaissance de la puissance 3 modulo n de ce 

secret, soit I = S 3 mod n, 

20 procede dans lequel le verifie et le verificateur 
mettent en oeuvre leurs moyens de calcul et de memori- 
sation pour effectuer les operations successives 
suivantes : 

Phase A ; le verifie : 
25 Aa) tire au hasard un premier exposant a entier 

compris entre 0 et X-l, 

Ab) tire au hasard un second exposant x entier 
compris entre 0 et X-l, 

Ac) calcule un nombre r egal a la puissance 3x du 
30 nombre g modulo n, soit : 
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r = g 3x mod n 

Ad) calcule un nombre R egal a la puissance 3a du 
nombre g modulo n, soit : 

R = g mod n, 

5 Ae) transmet les nombres r et R au verif icateur , ■' 

Phase B ; le verif icateur : 

Ba) tire au hasard un nombre e entier compris 
entre 0 et X-l, 

Bb) transmet au verifie le nombre e, 
10 Phase C ; le verifi6 : 

Ca) calcule un nombre y egal a ea + x modulo X, 

Cb) calcule un nombre z egal a g a S modulo n, 

Cc) transmet les nombres y et z au verif icateur . 
Phase D ; le verificateur : 

15 Da) calcule le produit de R e par r modulo n et la 

3 3v 

puissance y de g , soit g , et verifie si les 

deux resultats sont egaux, c'est-a-dire : 

? 

g 3y = R e r mod n, 
Db) calcule le produit de R par l'identite publi- 
20 que I et le cube de z et verifie si les deux 

resultats obtenus sont egaux, c'est-a-dire : 

? 

z 3 = RI mod n, 

1 ' identification du verifie par le verificateur etant 
acquise si les deux verifications Da) Db) sont averees. 
25 2. Procede selon la revendicat ion 1, dans 

lequel le support du verifie est une carte a memoire. 
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